Thanos

salut Oui c'est même très bon signe! Le rapport Blacklight comme tu l'as compris ne détecte plus rien. Par contre ton rapport hijackthis n'est pas complêt Comment fonctionne ton pc?

salut J'ai l'impression que tu as fait des bêtises avec Autoruns..je me trompe?? As tu désinstallé Autoruns? Clique sur ce lien > Fix.reg puis clique sur le bouton "Download/view" pour télécharger le fichier sur le bureau. Double clique sur le fichier : un message va te demander si tu acceptes la fusion avec le registre : accepte. Poste un nouveau rapport hijackthis stp et fais le scan en ligne suivant > Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 @+

salut lesmonchs, bruce Oui je te disait que tu avais éliminé l'infection car ton rapport Balcklight ne montre pas les fichiers qui en sont responsables. Par contre il reste des traces que ton antivirus a certainement détecté! Est ce que tu as un rapport de Mc afee , ou peux tu me dire sur quel(s) fichiers(s) il trouve un malware? Aucun rapport ne s'affiche après avoir lancé l'option 1 de Diagelp ?? Tu as accès au menu? Réesaie stp en suivant bien les recommendations de Malekal Morte > http://www.malekal.com/DiagHelp/DiagHelp.php *Démarre Hijackthis et clique sur "Do a system scan only", et coche les lignes suivantes : O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm636YYFR -Ferme tous les programmes et clique sur "Fix Checked" Si tu ne parviens pas à utiliser DiagHelp, fais ceci > Télécharge WinPFind3U.exe sur ton bureau. Double clique sur le fichier téléchargé : un dossier nommé WinPFind3U va apparaitre sur ton bureau. Ouvre le dossier et double clique sur le fichier WinPFind3U.exe pour lancer le programme. Sous le groupe Files Created Within sélectionne 60 days Sous le groupe Files Modified Within sélectionne 60 days Sous le groupe String Search sélectionne Non-Microsoft A présent clique sur le bouton Run Scan dans la barre d'outils Lorsque le scan est terminé,le bloc-notes s'ouvre et affiche le rapport. Clique sur le menu "Format" et assure toi que la case "Retour automatique à la ligne" ne soit pas cochée. Copie/Colle le contenu du rapport dans ta prochaine réponse. @+

salut Bon ca n'a pas fonctionné comme prévu! Continue comme ceci stp > Étape 1: Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" ) RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lkihmdjpfm RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lkihmdjpfm FileDelete %SYSDIR%\lkihmdjpfm_navps.dat FileDelete %SYSDIR%\lkihmdjpfm_nav.dat FileDelete %SYSDIR%\lkihmdjpfm.dat FileDelete %SYSDIR%\lkihmdjpfm.exe FileDelete %SYSDIR%\CSUninstall.exe -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "c:\BFU" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: aftermath.bfu -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Clique sur le petit dossier jaune à droite de la boîte "Scriptline to execute" , et double-clique sur aftermath.bfu Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" : C:\BFU\aftermath.bfu Clique sur Execute et laisse-le faire son travail. Attend que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..). Clique sur Exit pour fermer le programme. Étape 4: Redémarre normalement et poste stp > -un nouveau rapport hijackhis. -relance Blacklight et poste le nouveau rapport. @+

salut thierry herault Bon, pour ce qui est de l'export de la clé de registre que tu as fait, ca me parait normal. Certaines valeurs manquantes sous cette clé auraient pu expliquer l'apparition de ce carré à l'ouverture de windows ... mais il n'en est rien! Est il toujours visible? Pour ce qui est du rapport Panda > juste un risktool que tu peux éliminer : Vide ce dossier de son contenu > C:\temp Tu peux passer par services.msc comme précédemment et désactiver ces services > SC Test Branding Service 1 et Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC . Est ce que l'opération avec Delete an NT service s'est correctement déroulée? comment fonctionne ton pc? @+

salut Broly159 Fix_Protocol_zones_ranges.reg a bien fonctionné Je parlais de a-squared Anti-Malware mais il ne semble pas fonctionner (je ne vois pas son processus actif!) Tu as bien fait!! Par contre, tu aurais dû pouvoir te connecter au site de kaspersky après ca! Est ce que tu t'es bien assuré que les modifications que tu as effectué (effacer toutes les lignes) sur le fichier Hosts n'ont pas été annulées après redémarrage ? On va essayer de scanner ton pc avec AVG AS en mode sans échec : il devrait faire un bon nettoyage (plutôt que le scan en ligne!) Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier rapport HijackThis (avec l'icône de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: Étape 1: Télécharge ATF Cleaner par Atribune sur ton bureau. Télécharge AVG anti-spyware et sauvegarde le sur ton bureau. Une fois AVG Anti-Spyware téléchargé,repère son icône sur le bureau et double clique dessus pour lancer l'installation. Une fois l'installation terminée, AVG Anti-Spyware va se lancer: il faut mettre le programme à jour. Sur l'écran principal sélectionne le menu "Mise à jour", puis clique sur le bouton "Commencer la mise à jour" sous "Mise à jour manuelle". La mise à jour va commencer(il est possible que tu reçoives une alerte de ton parefeu: accepte la connexion au serveur). Une fois la mise à jour faite, sélectionne le menu "Analyse" puis clique sur l'onglet "Paramètres". Sous "Comment réagir", choisis "Quarantaine" Sous "Rapports" clique sur "Générer un rapport après chaque analyse". décoche la case "Uniquement en cas de menace". Ferme AVG Anti-Spyware et ne lance pas de scan maintenant! Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes : O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O17 - HKLM\System\CCS\Services\Tcpip\..\{1C534D44-D9C4-4E0A-AB78-67B493334104}: NameServer = 85.255.115.77 85.255.112.159 -Ferme tous les programmes et clique sur "Fix Checked" Étape 4: Double-clique ATF Cleaner afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. * Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci : Ouvre Firefox et clique sur Outils=> Options Clique sur l'onglet Vie Privée clique sur le bouton Vider le cache dans l'onglet "Historique" clique sur le bouton Supprimer les cookies dans l'onglet "Cookies" clique sur le bouton Vider le cache dans l'onglet "Cache" clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix. Étape 5: De nouveau recommence cette manipulation > -Lance Zebrestore et coche les cases suivantes : *Sites de confiance et sensibles *Fichier Hosts et clique sur le bouton "Restaurer". Quitte le programme. Étape 6 : Lance AVG Anti-Spyware en double-cliquant sur son icône. IMPORTANT:ne lance aucun autre programme pendant qu' AVG Anti-Spyware scanne le pc. Sélectionne le menu "Analyse" puis sous l'onglet "Analyser", choisis "Analyse complête du système". AVG Anti-Spyware va scanner ton (tes) disque dur(s).Le scan prendra un certain temps, donc sois patient. Une fois le scan terminé,en bas de page, assure de voir "Quarantaine" 'à droite de "Configurer tous les", sinon fais ce choix manuellement. (c'est important!) Clique sur le bouton "Appliquer toutes les actions". Maintenant clique sur "Enregistrer le rapport" puis "Enregistrer le rapport sous" et choisis le Bureau. Ferme le programme et redémarre ton pc normalement. Étape 7: Redémarre ton pc et poste les rapports suivants > - un nouveau rapport Hijackthis. - le rapport Avg AS. - retente le scan en ligne. Il n'y a toujours pas de firewall sur le pc!!! Essaie stp d'installer celui ci comme je te l'indiquait plus haut > N'hésite pas surtout! il n'y a pas de protection plus importante que celle là!! Si les manipulations ont bien marché installe aussi l'antivirus (Avast ou Antivir comme tu veux) courage

salut Lalla, zonk Tu as raison on va faire quelques vérifications > * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes : O2 - BHO: (no name) - AutorunsDisabled - (no file) O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb055YYFR_ZS O9 - Extra button: (no name) - AutorunsDisabled - (no file) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ -Ferme tous les programmes et clique sur "Fix Checked" *Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm Démarre LSPFix Coche 'I know what I'm doing' Clique sur 'Finish'. *Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. *Passe par démarrer:Exécuter et copie/colle ceci dans le champs > regedit.exe /e c:\what.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" ensuite tu vas dans le disque C:\ et tu cherches le fichier what.txt , tu l'ouvres et tu copie/colle son contenu dans ta réponse @+

salut et bienvenue Tu as nettoyé ton pc tout seul car le rapport Blacklight est propre! Tu ne dois plus avoir de pubs normalement! As tu utilisé le BFU?? Il faut juste ajouter un nettoyage qui va débarrasser ton pc des restes de l'infection (restes visibles dans ton rapport hijackthis). Il faut que tu refasses un rapport hijackthis car celui que as posté est antérieur au passage de Blacklight ! Donc > poste un nouveau rappoprt hijackthis + télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Pour info, à ne pas oublier> tu as infecté ton pc tout seul sans le savoir!! L'infection qui a pourri tes surfs se nomme MAgic Control Agent . Cette infection est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau > go-astro GoRecord HotTVPlayer MailSkinner Messenger Skinner Instant Access InternetGameBox sudoplanet Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/ D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée. Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives .... Voilà une autre liste que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangerueux car pas fiables : http://forum.zebulon.fr/index.php?showtopic=102647 D'autres apparaissent chaque jour(ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!! @+

Bon bah l'infection est bien présente! Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Fenêtres intempestives sur ordi portable (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: -Télécharge Navipromo.zip et décompresse-le sur ton bureau. Télécharge Brute Force Uninstaller (de Merijn). Crée un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) Lance le programme Brute Force Uninstaller en double cliquant sur BFU.exe A côté de la case "scriptfile to execute" tu verras une petite icône qui ressemble à ceci => Lorsque tu cliques sur cette icône, une fenêtre apparait avec ceci : "Please enter the full URL to the script you want to execute" Dans le champs, copie/colle l'URL suivante,puis clique sur "OK" : http://metallica.geekstogo.com/EGDACCESS.bfu Note: lorsque le Brute Force Uninstaller tentera de télécharger le fichier EGDACCESS.bfu , le parefeu t'enverra certainement une alerte! accepte le téléchargement. Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). Voici l'exacte représentation du dossier créé: Quitte le programme à présent. Étape 1: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 2: Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo. Sélectionne d'abord l'option "Vérifications", et patiente . Lorsqu'il a terminé, ferme le rapport qui s'est ouvert. Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R. Tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé : fais le. Étape 3: Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : EGDACCESS.bfu Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. Étape 4: Redémarre normalement et poste stp les rapports suivants > - le rapport C:\Navipromo.txt - Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Windows defender est équipé d'une protection en temps réelle et il est gratos. Avg As protège ton pc le temps de la validité de la version d'évaluation > càd 30 jours! après ca, il est payant si tu veux conserver sa protection. Ceci dit tu pourras le garder car il sera encore utile pour scanner ton pc (après mise à jour manuelle!) et plus efficace que Windows Defender!

Si j'ai bien compris, tu as un autre pc infecté aussi par Edgaccess?? c'est bruce qui s'en occupe? Pour les deux antispywares, tu as Windows Defender mais aussi AVG AS qui tournent en même temps : pas bon!! Si il n'a pas répondu d'ici là, j'irai jeter un oeil à ton autre sujet.

salut Dis moi : est ce que le rapport what.txt est complêt?? si non poste le reste stp. Tu as utilisé MSConfig pour décocher la case SpySweeper , une bonne chose. * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes : O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0 O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) - -Ferme tous les programmes et clique sur "Fix Checked" Le message "service indisponible" me fait penser qu'ils n'ont pas été éliminés .Fais ceci stp > Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete an NT service". la fenêtre "Delete a Windows NT service" va s'ouvrir Dans la fenêtre qui s'ouvre, copie/colle ceci => Netbios Helper Service Note : assure-toi de ne pas mettre d'espace avant le nom du service que tu as copié/collé dans le champs. clique sur OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer sur YES Le pc devrait redémarrer : fais le scan en ligne suivant pour finir > Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 @+

salut rivage Oui c'est vrai , excuse moi je suis mauvaise langue !! En fait je me suis rendu compte que j'avais mal lû ta question , mais comme tu étais là, je n'ai pas édité ma réponse de suite!(j'ai rajouté le lien vers la page de Symantec concernant LOP après!). Oui ce rapport est le dernier parce que LOP n'apparait plus dans les tâches planifiées Donc beau boulot rivage Pour finir : Pense à mettre Java à jour (version 10) .Passe par cette page > http://java.com/fr/download/installed.jsp Clique sur le bouton "Vérifier l'installation" . Un message va t'avertir que ta version est dépassée et te proposer de télécharger la dernière. Installe J2SE Runtime Environnement 5.0 Update 10 Le téléchargement va commencer.Une fois la version installée, passe par Ajouter/Supprimer des Programmes et désinstalle J2SE Runtime Environment 5.0 Update 9 . Une nouveauté: lorsque tu installes la mise à jour, on va te proposer d'installer la Google Toolbar ou/et Google Desktop ! à toi de voir : si tu n'en veux pas ,décoche les cases avant de cliquer sur "suivant". * Tu peux conserver : ATF Cleaner by Atribune pour nettoyer ton pc (au moins une fois dans la semaine!) * Tu peux éliminer : Blacklight (ca ne te sert plus à présent!) . BFU.zip et le dossier C:\BFU complêt. Pense à défragmenter ton disque dur pour réorganiser les données sur ton disque dur. Je t'avais fais faire ceci pour avoir acces à tous les fichiers => A présent recache tous ces dossiers pour ne pas en effacer un par erreur!(tu fais l'opération inverse à celle décrite dans l'encadré). Supprime la restauration système=> aide visuelle Les conseils qui suivent sont volontairement génériques, de sorte qu'ils puissent servir à un maximum de personnes. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux. *** Pour en savoir plus sur la sécurité pc, consulte les pages suivantes: Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html Malekal_Morte : http://www.malekal.com/ *** 1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC : Navigateurs => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de Megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Je te le recommande vivement ! => Opera - Téléchargement : http://www.opera.com/download/ - Explications par Pitcat : http://speedweb1.ovh.org/forum-tesgaz/view...ae5af52b512dbab - Fonctionnalitées et Astuces par Lordtoniok : http://forum.zebulon.fr/index.php?showtopic=73742 Si tu veux toujours utiliser IE ! : => IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) - Téléchargement : http://www.spywarewarrior.com/uiuc/res/ie-spyad2.exe Sécurisation des ports => ZebProtect (pour sécuriser les ports de ton PC, très simple) : - Téléchargement : http://telechargement.zebulon.fr/123.html - Tutorial par Tesgaz : http://www.zebulon.fr/articles/zebprotect.php => Si tu veux tester ton firewall : - scanner les ports du PC : http://www.pcflank.com/ Sécurisation de la navigation => SpywareBlaster : - Téléchargement : http://www.javacoolsoftware.com/downloads.html - Tutorial : http://www.ordi-netfr.org/tutorialspywareblaster.php Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif. => Le fichier Hosts : Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'exploiter. - Télécharger le fichier Hosts de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP - Télécharger les listes hosts du forum Assiste.com par Pierre Pinard : http://assiste.forum.free.fr/viewtopic.php?t=11318 - Explications sur le Hosts : http://speedweb1.free.fr/frames2.php?page=securite10 - Conversations sur le Hosts sur Zebulon : http://forum.zebulon.fr/index.php?showtopic=88615 Antispywares => Ad-Aware SE de Lavasoft : - Téléchargement : http://www.ordi-netfr.com/adawarese.html - Téléchargement 2 : http://www.lavasoft.de/support/download/#free - Tutorial : http://home.tiscali.be/schouppeguy/adawarese/adawase.htm - Tutorial 2 par Patarien : http://tutopat.hostonet.org/viewtopic.php?t=207 seule la version payante te permet de protéger le pc!la version gratuite sert à scanner le pc (après mise à jour, et de préférence en mode sans échec) => SpyBot-Search & Destroy de Patrick Kolla : - Téléchargement : http://spybot.safer-networking.de/fr/download/index.html - Tutorial : http://www.safer-networking.org/fr/tutorial/index.html - Tutorial par Tesgaz : http://www.zebulon.fr/articles/spybot_1.php A noter la présence de 2 outils résidents optionnels, le "Teatimer" et le "SDhelper" ; le tuto indiqué t'en dira d'avantage. =>Spywareterminator - Téléchargement : http://www.spywareterminator.com/ - Tutorial par Malekal_Morte: http://www.malekal.com/tutorial_SpywareTerminator.html Ce logiciel est gratuit et possède une protection en temps réel qui permettra de protéger ton pc contre les spywares => AVG Anti-Spyware (AVG AS) : - Téléchargement : http://download.grisoft.cz/softw/70/filedi..._4.0.0.172a.exe - Tutorial par Malekal_morte : http://www.malekal.com/tutorial_ewidoV4.html#mozTocId415851 Ewido est un antimalware très efficace. Certaines fonctions ne sont gratuites que 30 jours, mais il est très performant en analyse en mode sans échec. Contrôleurs d'intégrité - Résidents / pour utilisateurs avancés =>Winpooch projet Opensources : - Téléchargement : http://winpooch.free.fr/page/home.php?lang=fr&page=home - Conversation sur Zebulon par Jack Burton : http://forum.zebulon.fr/index.php?showtopi...amp;hl=Winpooch =>WinPatrol de BillP Studios : - Téléchargement : http://www.winpatrol.com/download.html - Tutorial par Krigou : http://www.libellules.ch/weblog/comments.php?id=46_0_1_0_C =>ProcessGuard de DiamondCS : - Téléchargement : http://www.diamondcs.com.au/processguard/i...p?page=download - Conversation sur Zebulon par Megataupe : http://forum.zebulon.fr/index.php?showtopic=66717 - tutorial par Odsen : http://benoit.aun.free.fr/securite-facile-...rocessguard.php =>Icesword - IDS de la Xfocus Team : - Téléchargement : http://www.open-files.com/forum/index.php?...st&p=459692 - tutorial par Txon : http://www.open-files.com/forum/index.php?showtopic=29383 - Explications sur Zebulon par Horus Agressor : http://forum.zebulon.fr/index.php?showtopic=96713 2)- Les utilitaires pour nettoyer le PC : => EasyCleaner de Toni Helenius : - Téléchargement : http://personal.inet.fi/business/toniarts/ecleane.htm - Tutorial - temporaires par DarkBG : http://www.uptoopc.net/nettoyer/temporaires.php - Tutorial - registre : http://www.uptoopc.net/nettoyer/registre.php - Tutorial - autres fonctions : http://www.uptoopc.net/nettoyer/autresfonctions.php Easy cleaner est un utilitaire de nettoyage. => ATF Cleaner de Atribune : - Téléchargement : http://www.atribune.org/ccount/click.php?id=1 - Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html => JV16 : - Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html - Tutorial par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php 3)- Pour aller plus loin dans l'optimisation et la sécurisation - quelques pistes par Tesgaz : =>Configurez vos services : http://speedweb1.free.fr/frames2.php?page=service3 http://speedweb1.free.fr/frames2.php?page=service4 =>Optimiser la protection de son PC pour Internet en toute sécurité : http://speedweb1.free.fr/frames2.php?page=securite1 =>Autorisation et restriction des Dossiers et fichiers avec NTFS : http://speedweb1.free.fr/frames2.php?page=securite4 =>Améliorer votre sécurité grâce aux restrictions : http://speedweb1.free.fr/frames2.php?page=securite6 =>Les mots de passe : http://speedweb1.free.fr/frames2.php?page=securite7 4)- Des précautions simples qui permettent de retrouver un pc en bon état! : => Erunt & Ntregopt: - Téléchargement : http://telechargement.zebulon.fr/202-erunt.html - Téléchargement : http://telechargement.zebulon.fr/203-ntregopt.html le pc étant clean,il est important de pouvoir Sauvegarder la base de registre afin de la restaurer en cas de problème=> ntregopt permet de compacter la base de registre pour gagner de la place , et Erunt permet d'en faire une sauvegarde pour pouvoir la restaurer en l'état si besoin est.(problème infectieux,problème de plantage...) - Tutoriel par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php =>Installer la console de récupération : http://www.zebulon.fr/articles/console-de-recuperation-1.php Il est parfois utile d'avoir la consolé de récupération accessible au démarrage de windows afin de pouvoir l'utiliser et ainsi réparer plus facilement son système endommagé! =>Process Explorer de SysInternals : http://speedweb1.ovh.org/forum-tesgaz/viewtopic.php?t=39 Remplace aventageusement le Gestionnaire des Tâches de Windows ! surtout lorsque celui ci est désactivé par un malware! - Téléchargement : http://www.sysinternals.com/Utilities/ProcessExplorer.html - Tutoriel par Tesgaz : http://speedweb1.ovh.org/forum-tesgaz/viewtopic.php?t=39 Lorsque la désinfection est terminée,pense à changer le titre et y rajouter " Résolu" stp. A bientot sur les forums de

salut rolmic Pense à désactiver un des deux antispywares , un seul doit protéger ton pc! (risque de ralentissement et de plantage!). Comment as tu utilisé le BFU ? est ce que tu as utilisé Blacklight? Un rapport Blacklight avant et après BFU aurait été préférable car ca nous aurait permis de voir si l'infection est encore présente. Est ce que tu reçois encore des pubs ? Télécharge Blacklight (de F-Secure). Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique sur blbeta.exe et accepte la licence. Clique "Scan" puis "Next". Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie/colle le contenu de ce rapport dans ta prochaine réponse. Attention : Ne pas choisir l'option "Rename" tout de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...

salut Oui j'aimerai que tu regardes stp le contenu de ce fichier > c:\windows\system32\drivers\etc\hosts Tu peux l'ouvrir grace à Hijackthis > Ouvre Hiajckthis > clique sur le bouton "Open The Misc Tool Section" > Open host file manager voilà à quoi il devrait ressembler après le passage du logiciel Zeb Restore (je t'avais demandé de le lancer et de cocher les cases *Sites de confiance et sensibles et *Fichier Hosts , ca a peut être échoué). > est ce que tu vois autre chose? comme l'adresse de sites d'éditeurs d'antivirus ( Kaspersky - trendmicro etc...) avec 127.0.0.1 devant ? Si c'est le cas , élimine les lignes sous "127.0.0.1 localhost" > pour ce faire, clique sur la ligne à éliminer puis clique sur le bouton " delete line" en bas à gauche. S'il y a plusieurs lignes, il suffit de maintenir la touche CTRL appuyée et de sélectionner les lignes à éliminer en même temps avec la souris. Une fois les lignes éliminées , il faut redémarrer ton pc pour que les changements prennent effet. Réessaie de faire le scan en ligne. As tu réussi à utiliser Fix_Protocol_zones_ranges.reg. ? poste un nouveau rapport hijackthis. Est ce que tu parviens à mettre le logiciel A² à jour? si c'est le cas, et que tu ne parviens toujours pas à faire le scan en ligne; met A² à jour et fais un scan du pc en mode sans échec puis poste le rapport. Courage et à toute à l'heure.(pas de rootkit sur ton pc )

Bien bossé ! Avg As n'a rien à se mettre sous la dent! Au passage, pense à désactiver un des deux antispywares du démarrage de Windows! Est ce que ce sont les versions d'essai de Spy Sweeper et Avg ? Met Firefox à jour > sur ton pc : Mozilla Firefox (1.5.0.9) , la version actuelle est la v 2.0.0.1 > http://www.mozilla-europe.org/fr/products/firefox/ Le service infectieux n'a pas été effacé, on va faire autrement! -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant: Netbios Helper Service et double clique dessus > dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis clique sur "Appliquer" puis"ok" Quitte les services. -vas dans le menu démarrer executer et tu tapes : cmd et clique sur OK. dans la boite de dialogue qui s'ouvre, tu copie/colles : sc delete Netbios Helper Service > appuie sur [entrée]. Un message t'avertit de la réussite de l'opération . Quitte l'invite de commandes. Fais la même chose avec ce service=> Boonty Games Reposte après ca un nouveau rapport hijackthis. Est ce que tu connais à quelle application appartient ce service ? > SC Test Branding Service 1

salut Pendant que je regarde ton rapport, fais ceci stp > Passe par démarrer:Exécuter et copie/colle ceci dans le champs > regedit.exe /e c:\what.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" ensuite tu vas dans le disque C:\ et tu cherches le fichier what.txt , tu l'ouvres et tu copie/colle son contenu dans ta réponse

re Zeud.59 Ok c'est niquel tout ca Parce que Avast avait détecté SVKP , tu peux désactiver puis réactiver la restauration (un nouveau point sera créé) afin de ne pas réinstaller le rootkit en cas de souci. Plus qu'à te souhaiter bon surf alors

salut;) Effectivement , tu as raison ,il semble lié à tune UP ! Les raports que tu as posté plus haut ne montrent rien de mauvais. Pense à désinstaller un des deux antivirus présents sur ton pc. Est ce que tu reçois d'autres alertes de l'antivirus? Pour être sûr que rien ne nous échappe, quand tu auras le temps > Fais un scan en ligne Kaspersky avec Internet Explorer : Clique sur Clique maintenant sur J'accepte. Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. Patiente pendant l'installation des Mises à jour. Choisis par la suite l'analyse du Poste de travail Sauvegarde puis colle le rapport généré en fin d'analyse. AIDE : Configurer le contrôle des ActiveX Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. @+

salut En coup de vent car je pars bosser > Avant de fixer ces lignes dans hijackthis, déconnecte ton pc > * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes : O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{1C534D44-D9C4-4E0A-AB78-67B493334104}: NameServer = 85.255.115.77 85.255.112.159 -Ferme tous les programmes et clique sur "Fix Checked" Télécharge ce fichier sur le bureau. Extraies et double clique sur Fix_Protocol_zones_ranges.reg. Accepte lorsqu'il te demande de fusionner avec le registre. Reposte un nouveau rapport hijackthis. Installe le firewall dont je t'ai donné le lien plus haut > Jetico Personal Firewall Edite ton précédent message et retire l'adresse msn qui y figure. Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 sinon (si ca ne marche pas) > Fais un scan en ligne Kaspersky avec Internet Explorer : Clique sur Clique maintenant sur J'accepte. Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. Patiente pendant l'installation des Mises à jour. Choisis par la suite l'analyse du Poste de travail Sauvegarde puis colle le rapport généré en fin d'analyse. AIDE : Configurer le contrôle des ActiveX Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. @ toute à l'heure

salut Dicar's 58-10 , par curiosité : de combien de RAM dispose ton portable? Rien de visible sur ton rapport > Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe @+

salut Zeud.59 , je te demandais en fait de faire analyser ce fichier > TUKernel.exe que tu trouveras en allant dans le dossier E:\WINDOWS\System32 un post plus haut ! Bell@tor , je comprend bien ce que tu as voulu dire! et dans un sens tu as raison! Mais on a l'habitude de ne pas toucher à la restauration système tant que la désinfection n'est pas terminée. Pourquoi? imagine ( et ca arrive parfois malheureusement!) que je demande à la personne d'effacer le fichier smss dans le dossier C:\system par ex , et qu'il se trompe et efface celui qui se trouve dans C:\WINDOWS\System32 ! Pour nous, une "roue de secours" c'est bien! même si ca signifie réinstaller des malwares.(on nettoie ensuite). tesgaz dit de la restauration systeme que c'est un pansement sur une jambe de bois et c'est vrai!!(une réparation sans perte de données avec le cd c'est beaucoup mieux!) mais lorsque la personne n'a pas de cd d'xp par ex, ca fait plaisir de pouvoir compter dessus.N'oublie pas que les infections présentes dans la restauration sont "dormantes" : tant que l'on ne l'utilise pas, y a pas de souci.

Une dernière chose après ca : Quoiqu'il arrive, essaie d'installer ce firewall, parce que je ne le vois pas dans la liste des logiciels effacés par le virus > Jetico Personal Firewall > http://telechargement.zebulon.fr/225-jetic...irewall-fr.html Comment le configurer > http://securite-facile.ovh.org/jetico.php J'espère que celui ci s'installera sans problème!! (j'y crois!) essaie et tu me diras stp c'est important! tant qu'un parefeu n'est pas installé, les infections risquent de revenir . Je te lirai demain matin , je vais me coucher (je bosse demain matin!) Courage Broly le super guerrier

Effectivement on le voit bien sur ton rapport !! * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes : O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{1C534D44-D9C4-4E0A-AB78-67B493334104}: NameServer = 85.255.115.77 85.255.112.159 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159 O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing) -Ferme tous les programmes et clique sur "Fix Checked" Parce que tu ne parviens pas à télécharger Blacklight , essaie celui ci > Télécharge gmer : http://www.gmer.net/gmer.zip Déconnecte toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe Clic sur l'onglet "rootkit" et clic sur Scan Lorsque le scan est terminé, clic sur "copy" Ouvre le bloc-note et clic sur le Menu Edition / Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle le contenu ici. Poste aussi un nouveau rapport hijackthis.

He oui... comme je te disait cette saloperie s'attaque aux fichiers appartenant aux logiciels de protection !! du coup le parefeu et l'antivirus ne marchent plus Quand tu dis que Zone Alarm ne marche pas après réinstallation, ca veut dire qu'il se referme aussitôt lancé? Est ce que tu as réussi à installer et mettre à jour l'antivirus? Refais moi un scan hijackthis stp

re! Broly159 , je ne sait pas où tu en est, mais est ce que ton antivirus et ton parefeu fonctionnent encore? si non, as tu désinstallé puis téléchargé et installé les logiciels de nouveau?